Paul Cattermole Security & Compliance Officer
8 Juli 2019

Probleme mit dem Vulnerability Management? Nur die Ruhe.

Wenn die Sommerferien näher rücken, planen viele Mitarbeiter einen Urlaub, um sich etwas entspannen und von der Arbeit erholen zu können. Wahrscheinlich denken Sie dabei an Freizeitbeschäftigungen, die gar nichts mit der Arbeit zu tun haben, wie das Buch, das sie schon lange lesen wollten, die neuesten Must-See-Filme auf Netflix oder einfach an das Faulenzen in der Sonne am Strand. Aber diese Pause von der Arbeit kann einem auf unerwartete Weise dazu verhelfen, Erkenntnisse zu einem Problem bei der Arbeit zu gewinnen, an die man ja eigentlich gar nicht denken wollte …

 

Das ist mir dieses Jahr auch passiert. Während ich entspannt in einer Hängematte lag, bei einer Gastfamilie zwischen Kaffeefeldern im Süden von Indien, hatte ich plötzlich eine Offenbarung zu einer Frage, die mich bei Solvinity schon seit drei Jahren beschäftigte: Warum sind wir schlecht im Vulnerability Management?  

 

Ich hörte gerade einen Podcast aus der Serie You Are Not So Smart mit dem Titel Why solving problems can make those problems seem impossible to solve , und ich hörte darin zum ersten Mal von dem Konzept des prevalence induced concept change (im gleichen Umfang, in dem ein Problem weniger oft vorkommt, definieren wir das Problemkonzept weiter). Da wurden mir die Probleme von Solvinity mit dem Vulnerability Management auf einmal klar.

Konzepte im Hintergrund

Der Podcast erläuterte, dass bei einem „prevalence induced concept change“ drei verschiedene Konzepte betroffen sind.

  1. Das Creep-Konzept – Creep ist ein Begriff, der in der Technologiebranche allgemein bekannt ist, vom Projekt- über den Scope- bis hin zum Feature-Creep. Aber auch Ideen, abstrakte Begriffe und Definitionen können unter Creep leiden, und zwar je besser wir sie zu verstehen beginnen.
  2. Evaluation durch Vergleichen – unser Urteil wird durch Vergleiche mit Erfahrungen aus der Vergangenheit beeinflusst.
  3. Veränderung der Häufigkeit im Zeitablauf – unser Urteil ändert sich, wenn wir merken, dass etwas nach Ablauf einer gewissen Zeit seltener wird.


Wenn wir diese drei psychologischen Phänomene kombinieren, macht unser Gehirn etwas sehr Seltsames …

Die Studie

Bei der Projektstudie von David Levari und anderen bekamen die Versuchspersonen eine Serie farbiger Punkte zu sehen, von lila bis tiefblau. Danach wurden sie gebeten, anzugeben, ob der Punkt „blau“ oder „nicht blau“ war. Während des zweiten Teils des Experiments wurde die Anzahl der blauen Punkte bei der Hälfte der Teilnehmer allmählich auf 5 % reduziert. Für diese Gruppe wurden die blauen Punkte selten. Diese Studie bewies deutlich, dass dann, wenn die Zahl der blauen Punkte abnimmt, die Menschen damit anfingen, mehr blaue Farbtöne zu unterscheiden. Diese zweite Teilnehmergruppe änderte ihre Definition von Blau.

“Es jongliert zwischen aktiven Schwachstellen und Sicherheitsprobleme.”
Paul Cattermole
Security & Compliance Officer

Mein Aha-Moment

Während ich in meinem Urlaub in meiner Hängematte den Podcast hörte, fiel auf einmal der Groschen: Die Studie suggeriert, dass man „dann, wenn man etwas gut macht, unbewusst und ungewollt mehr Probleme zu sehen beginnt als vorher“.

Die Beziehung zum Vulnerability Management

Das Vulnerability Management erscheint oft als Kampf, den man nie gewinnen kann. Erst konzentriert man sich auf die Systeme mit Schwachstellen, die über das Internet genutzt werden können. Gibt es noch andere kritische Schwachstellen? Natürlich, die haben ebenfalls Priorität. Wenn man diese Liste gekürzt hat, konzentriert man sich auf die Systeme mit sehr gravierenden Schwachstellen. Es ist ein ständiges Jonglieren mit aktiven Schwachstellen und Basis-Sicherheitsthemen, um dafür zu sorgen, dass die kostbare Arbeitszeit des Ingenieurs auf die Gebiete mit dem höchsten Risiko ausgerichtet bleibt.

Und das alles in Umgebungen mit strikten Patchzyklen nach der Methode Entwicklung, Test, Akzeptanz und Produktion. Oder in Umgebungen, die auf Custom Middleware laufen, mit Und das wiederholt sich jeden Monat, wenn eine neue Serie mit Schwachstellen angekündigt wird …

Aber wenn man es richtig macht, sinkt im Laufe der Zeit die Gesamtzahl der Schwachstellen. Dann testet man, wie gut die eigene Vulnerability Management-Lösung ist. Wurde unsere Scankonfiguration optimiert? Wissen wir genau, dass wir alle Systeme in unseren Zielnetzen identifizieren? Nutzen wir alle Funktionen, die die aktuelle Version unseres Security-Assessment-Tools zu bieten hat?

Eigentlich machen wir das sehr gut!

Meine Vorstellung davon, was ein Vulnerability-Management-Problem ist, hat sich inzwischen um zusätzliche Problembereiche erweitert, beispielsweise:

  • das Überwachen eines Systems und der Funktionen der Vulnerability-Management-Lösung
  • die Interaktion mit den Patch-Management-Zyklen
  • die Effizienz des Loggens von Serviceanfragen, wenn Schwachstellen behoben werden müssen

In Wirklichkeit zeigte die allgemeine Trendlinie der Vulnerability-Grafik nach unten, nur sah ich den Erfolg nicht!

Während der Einfluss von kritischen und sehr gravierenden Schwachstellen abgenommen hatte, war ich zu sehr mit dem Entdecken von Problemen beschäftigt, die ich vorher nicht gesehen hatte, basierend auf meiner wachsenden Erfahrung mit dem Security-Scanning-Tool und der Rolle, die dieses für das allgemeine Ziel spielte, eine sichere Hostinglösung für unsere Kunden zu bieten.

In Wirklichkeit sind enorme Fortschritte beim Security Scanning erreicht worden, seit ich bei Solvinity angefangen habe. Im letzten Jahr haben wir einige Dutzend Vulnerability Scanning Agents hinzugefügt. Dadurch können wir einigen Kunden einen Wochen- oder Monatsbericht über ihre Vulnerability zur Verfügung stellen, und zwar über unseren Vulnerability-Management-Lösungsblock. Wird eine „Zero-day-vulnerability“ angekündigt, verfügen wir über aktuelle Daten für einen wichtigen Teil unserer Infrastruktur, um ein potentielles Risiko schnell festzustellen.

Es wurden Elemente unseres CMDB mit unserer Security-Scan-Lösung synchronisiert, auf eine Weise, die dem Ingenieur einen vollständigen Überblick über die Schwachstellen der Kundensysteme in seiner Verantwortung bietet. Und wir implementieren die ServiceNow Security Operations-Anwendung, um das Loggen von Schwachstellen zu vereinheitlichen, die Abhängigkeit von manuellen Analysen zu eliminieren und automatische Serviceanfragen zu erzeugen, basierend auf den Unternehmensregeln.

Während ich also einen Podcast hörte, der mir Erläuterungen zu einem Versuch mit blauen und lila Punkten gab, dachte ich unbewusst an meine Arbeit bei Solvinity. Ich gewann dabei neue Einsichten und eine neue Wertschätzung der Erfolge und des sich immer besser entwickelnden Vulnerability-Management-Prozesses bei Solvinity.

Genießen Sie also die entspannte Zeit in Ihrem Urlaub und seien Sie gewarnt, dass das Buch, der Podcast oder die Filmserie Sie unbewusst an Ihre Arbeit denken lassen kann, sodass Sie lernen, die eigenen Erfolge wieder zu würdigen.

Lees ook

Meer

Können wir Ihnen weiterhelfen?

Montag bis Freitag von 8 bis 18 Uhr
Background Icon